# AN1105 — Analytic 1105 ## Descrição Este analítico detecta múltiplos eventos do AWS CloudTrail indicando escalonamento temporário de privilégios via `PassRole` e `AssumeRole` direcionados a serviços recém-criados ou infraestrutura não interativa. Utiliza telemetria do CloudTrail correlacionada com padrões de abuso de roles IAM para identificar sequências de assunção de papel incomuns. A detecção é fundamental para identificar ataques de escalonamento de privilégios em AWS, onde adversários assumem roles com permissões mais amplas para acessar recursos que normalmente não estariam disponíveis à identidade comprometida inicial. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN1105](https://attack.mitre.org/detectionstrategies/DET0393#AN1105)*